「智弈」AI智能体攻防沙龙于6.24完美收官
6月24日,由360安全应急响应中心牵头,360漏洞云与Aiker World协力支持的「智弈」AI智能体攻防实战沙龙在北京国家会议中心盛大召开。作为ISC.AI 2026大会的亮点分论坛,本次沙龙借助五场核心技术分享与一场圆桌探讨,全面展示了当下AI智能体攻防领域的最前线实战与前瞻洞察。
开幕致辞
客户端漏洞挖掘Agent的设计与实践
张睿 / 360信息安全中心负责人
张睿在开场发言中表示,2025年AI安全技术沙龙的核心仍聚焦于大模型自身安全——如提示词注入、数据投毒、AI伪造及模型滥用。然而短短一年间,AI Agent在安全领域迅速铺开,安全课题已由「大模型是否遭攻击」演变为:智能体是否可控、工具是否遭恶意调用、权限是否被越界、执行链是否失控。
基于此,沙龙品牌也焕新为「智弈」:「智」代表智能体正大步迈入安全攻防实战,「弈」则寓意攻防双方围绕智能体展开的全新较量。
张睿特别提到,AI智能体安全仍处于快速迭代期,诸多难题尚无定论。正因如此,产业界、甲方安全团队及安全社区更需汇聚一堂,将痛点剖析透彻,将心得共享出来,将方法论积累下来。
议题.01
客户端漏洞挖掘Agent的设计与实践
w1th0ut / 2025 Hackprove冠军,2024 Oppo x Kcon 赏金积分赛第一
AI与IoT安全研究员
桌面客户端漏洞挖掘的攻击面广泛分布在IPC/XPC、伪协议、Web渲染层及框架漏洞等多个维度,多步利用链条极易在上下文切换时发生断裂。
w1th0ut借助三个高价值真实漏洞案例(ElectronXSS2RCE、回环端口监听提权、本地提权实战),阐述了如何构建一套专为客户端漏洞挖掘打造的AI Agent系统,并演示了该Agent从攻击面枚举到PoC生成的全链路工作流。
议题.02
Skills免杀投毒与语义混淆
陈永锋 / SecureNexusLab团队
LLM安全负责人
Skills生态呈现爆发式扩张,但其安全隐患却屡遭忽视。陈永锋从Skills内核出发,揭露了Skills投毒免杀与语义混淆的潜在威胁,详解了攻击方如何避开安全监测,最终达成对主机的远控。同时,他也分享了针对Skill元数据及行为开展动静态分析的安全检测方案。
在检测策略上,AgentShield最亮眼的是第四层蜜罐逻辑:布置虚假工具、伪凭证与参数白名单校验器,不阻断执行仅监控调用,绕开前三层防护的行为本身即触发检测信号。他在结尾点出的深层矛盾引人深思:「产品侧AI功能迭代速率远超安全团队跟进步伐——先上线,后补漏」
议题.03
用AI挖AI:多Agent协同时代的链式逃逸
半夜不睡觉 / 米斯特安全团队
苹果SRC连续6次致谢
半夜不睡觉以「Agent在安全模型中相当于一台云服务器」的比喻切入,将沙箱逃逸视作安全水位的关键界线。他呈现了三个从单点到链式的完整攻击实例,全程依托产品既有功能,未突破任何代码层安全机制;从平台级AKSK入手攫取180余个Bucket权限,持续窃取其他用户文件并如滚雪球般获取更多凭证。
他在议题中总结:单点漏洞或仅被评为低危,但串联后的攻击链却可能酿成灾难级后果——链式逃逸的核心并非在单点死磕,而是在Agent与Agent间构建非预期的信任传递。
议题.04
从救火到基建:
百度智能体安全加固实践
曹新宇 / 百度安全风险治理负责人
伴随企业AI智能体的大规模投产,安全边界正被重新塑造。百度内部智能体规模已达万级,逐点修补的安全模式已然捉襟见肘。
此次分享聚焦百度安全团队在此规模压力下的转型轨迹,即怎样从"救火队员"蜕变为"AI安全基础设施提供方",用平台化思维打造横跨产品安全、身份安全、智能体安全、网络安全与数据安全的统一能力底座,使各业务线能以极低代价实现安全接入与自主加固。
曹新宇结合真实攻防案例,剖析了这套生态级安全体系背后的设计权衡、踩坑经验与方法论积累。他强调:当人工确认机制从安全链路中剥离后,安全能力将化作智能体商业化的核心竞争壁垒。
议题.05
从AI工具到安全运营智能体:SOC的AI Native转型实践
Loki / 360高级安全分析专家
该议题围绕安全运营团队的AI Native转型实战,探讨如何从单点AI工具应用,升级为面向SOC场景的智能体生产体系。
Loki以一组数据开场,介绍了360在SOC架构上的核心策略:Agent不依传统岗位划分,而是按完整逻辑链拆分——每条链对应一个闭环任务,每步输出可引用的确凿证据而非泛泛结论。
在安全运营智能体落地进程中,他总结了五类核心瓶颈并给出对策,大幅削减了单条告警的Token消耗。他指出:AI剥离的是安全工作中最重复的环节,未来有竞争力的安全工程师不在于比Agent更速完成排查,而在于精准判断何时该信AI的输出、何时必须否决它。
圆桌论坛
「智弈·对局之外」
Agent时代的攻防范式转移
胡晓娜<主持人>
360AI事业发展部总经理,Aiker World与HackingClub社区发起人
张睿<嘉宾>
360集团信息安全中心负责人
曹新宇<嘉宾>
百度安全风险治理负责人。主导百度零信任安全架构落地及OpenClaw、dodo等智能体安全加固工作,并构建了百度内部智能体安全生态,实现了智能体安全机制的规模化落地。
淚笑<嘉宾>
起零衍迹&Chainreactors联合创始人,前阿里&蚂蚁攻防紫军
半夜不睡觉<嘉宾>
米斯特安全团队,360SRC核心白帽子;Apple SRC 2023-2025 连续三年获六次致谢
宁宇飞<嘉宾>
AikerWorld技术社区&hackingclub白帽社区技术负责人;360漏洞云AI安全及技术发展专家
圆桌环节由胡晓娜女士担纲主持,特邀张睿、曹新宇、淚笑、宁宇飞、半夜不睡觉五位大咖。对话围绕攻击效率跃升、采购逻辑重塑、防线碎片化与责任归属四大命题层层深入。
攻方认知与速度的不对等
Part.1
「一个团队一周一次渗透测试」跃变为「一个Agent一天数万次,攻击频率的飙升意味着什么?」
曹新宇分享了一则真实应急事件:某内核漏洞被AI发掘并武器化,团队尚未修补完毕便遭遇第二个AI挖出的变种。他坦言百度安全团队的响应机制已远超行业均值,即便如此仍倍感压力——对中小型企业而言,这种速度差构成了结构性难题。
攻击方视角则进一步印证了这种失衡。淚笑指出,AI已将攻击边际成本压至极低,攻击者角色正由「手工操作者」向「策略制定者与自动化运营者」跃迁:「我们更多去写一些宏观的策略、宏观的程序,然后等着收菜一样持续去收获。」半夜不睡觉则抛出一个更隐秘的风险:AI挖洞极快,一人同时跑5-8个Agent,假阳性报告规模同步激增——「我自己去判断、去复现都很麻烦,我自己都要撑不住了。」他进而提示,漏洞报告本身或成新攻击向量——大模型未必按报告内流程走,甚至可能有人在报告中注入攻击指令。
工具与防御的成本结构失衡
Part.2
「"按标准花钱"这个锚,还在吗?」
宁宇飞从经济视角抛出一个核心对比:白帽子花约1000元Token跑100个Agent做渗透,若获5000元赏金即实现正向回报。甲方能否以同等预算对自身业务开展持续性自检?他进一步指出,部分从业者的驱动力不仅在于赏金回报,更在于借持续投入积累Agent渗透工具的方法论与迭代经验。
张睿:“在AI时代,为产品买单这件事会越来越难。因为使用和维护都需要成本,而且它很难引入到企业本身的防御体系里面,或者AI快速迭代的体系里面。”在甲方视角里,一定是能看到真刀真枪的实战效果,才愿意付钱。大量预算都会为效果付费。
曹新宇用一个内部案例回应:”“百度已经把很多传统安全能力颠覆了。过去做白盒检测可能会买一个扫描引擎,现在你花更低的成本,直接让AI去读代码,甚至在IDE上就做修复。不管是成本,还是员工的接受逻辑,还是整个工作流的顺畅度,都比过去提升很多。”如果你不革自己的命,别人就会来革你的命。一定要自己先去做变革,把AI融到自己的产品里面来。
防线碎片化与责任归属
Part.3
「Agent正在碎片化,攻击面不再是一个完整的智能体,而是散落在调用链的每一个节点上。防线建在哪,你还说得清吗?」
张睿将智能体场景下的最大攻击面归为身份的横向移动:“必须透视到调用链里面去看,具体在哪个环节出问题。模型问题、布局调度问题、API调度问题、脚本调用SDK……风险在哪、漏洞在哪,在哪个环节产生,定责才定在哪儿。”
「如果连责任都分不清,标准谁来定?监管怎么执行?治理框架还能兜住底吗?」
在标准与监管维度,张睿指出智能体的异构性与数据不收敛令其难以形成统一标准。曹新宇建议企业勿过度依赖合规,法规本身在等行业最佳实践沉淀为规范,进程较缓,应主动构建自身的安全治理逻辑。
AI Agent 是安全行业近十年来最大的一次结构性变量——它同时改变了攻击的供给曲线和防御的组织方式。
「智弈」AI智能体攻防实战沙龙并未试图给出标准答案,因为在该领域,当下并无标准答案。但其独特价值在于:这不是一群旁观者在观望趋势,而是一群已入局的践行者,把摔过的跟头、试出的方法摊在桌上。从 w1th0ut 用元认知框架让 Agent 学会在沉默时反思,到陈永锋在 Skill 供应链上布下蜜罐监测节点,到半夜不睡觉把链式逃逸从一个模糊直觉变成可复现的攻击图谱,到曹新宇以百万级智能体体量为依托构建平台化防线,再到 Loki 将 SOC 从告警流水线重构为可审计的智能体协作网络——每一次探索,无论来自攻击方还是防守方,都在为这个新兴领域写下首批可参照的实践。AI 不会停下等安全行业做足准备,但安全行业也并未在等——这正是「智弈」二字的真谛。
对安全行业而言,本场沙龙的意义不在于解答了多少问题,而在于抛出了些无法回避的真问题:当攻防速度彻底失衡,「防」字是否需重新定义?当标准迭代追不上攻击演化,「按标准花钱」的锚还在不在?当智能体行为由模型、框架、Skill、Prompt 与用户共同催生,出事谁担主责?这些问题当下无解,但它们正重塑安全行业的底层逻辑——从合规驱动到效果驱动,从产品采购到能力建设,从单点防护到纵深体系。
那些敢于在不确定中先行探索并持续重塑安全能力的组织,终将在 AI 重塑的安全秩序中掌握定义权。
沙龙完整回放
点击“阅读原文”,即可下载议题PPT。